Защита от брутфорс-атак (Fail2Ban)

Блокировка IP-адресов (Fail2Ban) - это автоматизированный способ защитить ваш сервер от атак методом перебора (брутфорс). Используя регулярные выражения, Fail2Ban проверяет файлы журналов на различные ошибки аутентификации, ищет эксплойты и другие записи, которые могут считаться подозрительными. Ведется подсчет подобных записей журнала, и когда их количество достигает определенного значения, Fail2Ban или отправляет уведомление по электронной почте, или блокирует IP-адрес злоумышленника на определенный период времени. По окончании периода блокировки IP-адрес автоматически разблокируется.

Логику работы Fail2Ban определяют джейлы. Джейл представляет собой набор правил для конкретного сценария. Настройки джейла определяют, что нужно сделать в случае, если обнаружена атака в соответствии с упределенным фильтром (набором из одного или нескольких регулярных выражений, используемым для мониторинга журналов). Более подробную информацию смотрите в разделе Управление джейлами Fail2Ban.

Примечание Чтобы использовать Fail2Ban, администраторам, обновляющим Plesk с версии 11.5, необходимо приобрести новый ключ лицензии для Plesk Onyx у компании Plesk или своего поставщика.

Чтобы настроить блокировку IP-адресов и сетей, создающих вредоносный трафик для вашего сервера:

  1. Откройте  Инструменты и настройки  >  Блокировка IP-адресов (Fail2Ban)  (в разделе  Безопасность ). Нужно установить компонент Fail2Ban на ваш сервер.
  2. Поставьте галочку Включить обнаружение атак. Служба Fail2Ban будет активирована.
  3. Укажите следующие параметры:
    • Период блокировки IP-адреса - период времени в секундах, на который будет заблокирован IP-адрес. По окончании этого периода IP-адрес автоматически разблокируется.
    • Интервал обнаружения последующих атак - интервал времени в секундах, в течение которого система подсчитывает количество безуспешных попыток входа и других нежелательных действий со стороны того или иного IP-адреса.
    • Допустимое количество неудачных попыток входа перед блокировкой IP-адреса - количество неудавшихся попыток входа со стороны IP-адреса.
  4. Нажмите OK.

Теперь все активные джейлы Fail2Ban будут использоваться для мониторинга файлов журналов и блокировки подозрительных IP-адресов.

IP_Address_Banning

Использование Fail2Ban в Plesk имеет следующие особенности и ограничения:

  • Не перезапускайте Fail2Ban вручную, как службу Plesk, так как это приведет к потере всей собранной статистики, включая заблокированные на данный момент IP-адреса.
  • Fail2Ban не дает защиты от атак с IPv6-адресов. Fail2ban в Plesk, если его не перенастраивать, ориентируется только на IP-адреса (без преобразования имени хоста).
  • Fail2Ban не защищает от распределенных атак методом перебора, так как идентифицирует злоумышленников по IP-адресам.
  • Если у вас Plesk установлен на VPS, ограничение количества записей в iptables на VPS (numiptent) может повлиять на работу Fail2Ban. При превышении этого ограничения работа Fail2Ban будет нарушена, а в журнале Fail2Ban появится подобная запись:
    fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
    В этом случае для решения проблемы обратитесь к своему провайдеру хостинга VPS.
  • Если у вас на сервере Fail2Ban был установлен до обновления до версии Plesk Onyx, его пакет будет заменен пакетом Fail2Ban из Plesk. Если версия вашего установленного пакета выше версии, поставляемой с Plesk, это может помешать обновлению. Существующие джейлы не будут переписаны, и вы сможете управлять ими через Plesk наряду с джейлами из Plesk Onyx.

Чтобы предотвратить блокировку конкретного IP-адреса:

  1. Откройте  Инструменты и настройки  >  Блокировка IP-адресов (Fail2Ban)  > Надежные IP-адреса  > Добавить надежный IP-адрес.
  2. В поле IP-адрес введите IP-адрес, диапазон IP-адресов или имя узла DNS и нажмите OK.

Файлы журналов Fail2Ban можно посмотреть и скачать на странице  Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Журналы .

Посмотреть список заблокированных IP-адресов, разблокировать их или перенести в список надежных можно на странице  Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Заблокированные IP-адреса .

Посмотреть список IP-адресов, которые никогда не будут заблокированы, а также добавить или удалить IP-адрес из этого списка можно на странице Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Надежные IP-адреса .

Далее в этом разделе:

Управление джейлами Fail2Ban